IOC

📰 Source : BleepingComputer | Date de publication : 19 avril 2026 Une campagne de phishing par callback exploite une fonctionnalité légitime des notifications de modification de compte Apple ID pour distribuer des leurres frauduleux via l’infrastructure officielle d’Apple. 🎯 Mécanisme d’attaque L’attaquant crée un compte Apple ID et insère le message de phishing dans les champs nom et prénom du profil (le message étant réparti sur les deux champs). Il modifie ensuite les informations de livraison du compte, ce qui déclenche l’envoi automatique par Apple d’une alerte de sécurité incluant les champs nom/prénom fournis par l’utilisateur — et donc le message frauduleux. ...

🔍 Contexte Source : Hudson Rock (infostealers.com), publié le 20 avril 2026. Cet article présente les conclusions d’une investigation de threat intelligence menée par Hudson Rock à la suite de la confirmation publique d’une violation de données chez Vercel, plateforme cloud de déploiement d’applications. 🦠 Vecteur initial : infection Lumma Stealer En février 2026, un employé de Context.ai (fournisseur tiers de Vercel) a été compromis par Lumma Stealer. L’infection aurait été contractée via le téléchargement de scripts malveillants liés à des exploits de jeu (Roblox auto-farm scripts/executors), vecteur classique de déploiement de Lumma Stealer. ...

🔍 Contexte Publié le 14 avril 2026 par Proofpoint Threat Research, cet article présente les résultats d’une surveillance étendue (plus d’un mois) d’un acteur malveillant spécialisé dans le vol de fret et la fraude au transport, opérée dans un environnement leurre géré par Deception.pro à partir de fin février 2026. 🎯 Accès initial Le 27 février 2026, après avoir compromis une plateforme de load board, l’acteur a livré un payload malveillant par email à des transporteurs. Le payload consistait en un fichier VBS qui : ...

🔍 Contexte Publié le 19 avril 2026 sur GitHub par le compte KuwaitiSt, le projet Astral Projection est un UDRL (User-Defined Reflective Loader) conçu pour Cobalt Strike, un framework offensif largement utilisé dans les opérations red team et par des acteurs malveillants. ⚙️ Fonctionnement technique Astral Projection implémente des techniques d’évasion en mémoire avancées : Chargement d’un module légitime via LoadLibraryExW puis écrasement de son contenu (module stomping) Pendant les phases de sommeil du beacon, le module est déchargé (unmapped) tout en maintenant les entrées PEB intactes Un module frais est rechargé (remapped) au réveil pour éviter la détection par des IOCs statiques en mémoire 🛠️ Dépendances et configuration Le projet est construit avec Crystal Palace et s’appuie partiellement sur le code du projet Crystal-Kit. ...

🎯 Contexte Publié le 18 avril 2026 par la Microsoft Defender Security Research Team, cet article documente une chaîne d’intrusion complète exploitant les fonctionnalités de collaboration inter-tenant de Microsoft Teams pour mener des attaques d’ingénierie sociale, d’accès distant non autorisé et d’exfiltration de données. 🔗 Chaîne d’attaque L’intrusion se déroule en plusieurs étapes distinctes : Stage 1 – Contact initial (T1566.003) : L’attaquant initie une communication Teams depuis un tenant externe en se faisant passer pour du personnel IT/helpdesk. Des leurres tels que « Microsoft Security Update », « Spam Filter Update » ou « Account Verification » sont utilisés. Le vishing peut compléter ou remplacer la messagerie. ...

🔐 Contexte Publié le 16 avril 2026 sur netcost-security.fr, cet article rapporte la publication par Cisco de mises à jour de sécurité corrigeant quatre vulnérabilités critiques dans deux de ses produits majeurs : Webex Services et Identity Services Engine (ISE). 🚨 Vulnérabilité principale : CVE-2026-20184 (Webex Services) Produit affecté : Cisco Webex Services, via l’intégration SSO (Single Sign-On) avec le Control Hub Type de faille : Authentification inappropriée Impact : Un attaquant distant, sans privilèges, peut usurper l’identité de n’importe quel utilisateur en fournissant un jeton SAML modifié Accès obtenu : Accès non autorisé aux services légitimes Cisco Webex Action requise des clients : Les utilisateurs SSO doivent mettre à jour leur certificat SAML auprès de leur fournisseur d’identité (IdP) dans le Control Hub pour éviter toute interruption de service ⚠️ Vulnérabilités critiques : CVE-2026-20147, CVE-2026-20180, CVE-2026-20186 (ISE) Produit affecté : Cisco Identity Services Engine (ISE) Impact : Exécution de commandes arbitraires sur le système d’exploitation sous-jacent Prérequis : Exploitation nécessitant des privilèges administratifs 📋 Autres correctifs Dix failles de gravité moyenne ont également été corrigées, permettant potentiellement : ...

🔍 Contexte Publié le 19 avril 2026 sur GitHub par DylanDavis1, DSCourier est un outil de preuve de concept (PoC) accompagné d’un article de blog technique détaillé. Il s’inscrit dans une démarche de recherche offensive sur les techniques de contournement d’EDR. ⚙️ Technique exploitée DSCourier exploite l’API COM WinGet Configuration (Microsoft.Management.Configuration) pour appliquer des configurations DSC (Desired State Configuration) en passant par des binaires signés Microsoft. Cette approche permet de masquer l’activité malveillante derrière des processus légitimes et de confiance. ...

🔍 Contexte Article technique publié le 17 avril 2026 par Calif sur blog.calif.io, en partenariat avec OpenAI. Il documente une vulnérabilité d’exécution de code arbitraire découverte dans iTerm2, un émulateur de terminal macOS populaire, exploitable via la simple lecture d’un fichier texte malveillant. 🐛 Vulnérabilité identifiée La faille repose sur un défaut de confiance dans le protocole d’intégration SSH d’iTerm2. Ce protocole utilise des séquences d’échappement terminales (DCS et OSC) pour coordonner un script distant appelé conductor. iTerm2 accepte ces séquences depuis n’importe quelle sortie terminale, sans vérifier qu’elles proviennent réellement d’un conductor légitime. ...

🔍 Contexte Publié le 19 avril 2026 par Huntress, cet article de threat intelligence documente une recrudescence d’incidents liés à l’exploitation de Bomgar RMM (rebaptisé BeyondTrust Remote Support), observée par le SOC Huntress depuis début avril 2026. 🛡️ Vulnérabilité exploitée La faille CVE-2026-1731, de sévérité critique, permet à un attaquant non authentifié d’exécuter du code à distance sur des instances Bomgar. BeyondTrust a publié un correctif le 6 février 2026 (version 25.3.2 pour Remote Support, version 25.1 pour Privileged Remote Access). Les organisations impactées utilisaient des versions obsolètes, notamment la version 21.1.3. ...

🔍 Contexte Le 19 avril 2026, Vercel a publié un bulletin de sécurité officiel sur son site (vercel.com/kb/bulletin) signalant un incident de sécurité actif impliquant un accès non autorisé à certains systèmes internes. L’enquête est en cours avec l’appui d’experts en réponse à incident, et les autorités ont été notifiées. 🎯 Vecteur d’attaque identifié L’investigation a révélé que l’incident trouve son origine dans la compromission d’une application OAuth Google Workspace appartenant à un outil IA tiers comptant des centaines d’utilisateurs. Ce vecteur a permis un accès non autorisé aux systèmes internes de Vercel. ...